如何使用组策略禁用/更改用户帐户控制？

---

（用户帐户控制）是Windows安全的重要组成部分。当您运行任何需要管理员权限的应用程序或进程，尝试更改系统设置、受保护的注册表项或系统文件时，UAC 组件会将桌面切换到保护模式（安全桌面）并要求管理员确认这些操作。通过这种方式，UAC 有助于防止启动可能损害您的计算机的进程和恶意软件。

下面的屏幕截图显示当您尝试运行注册表编辑器时（

regedit.exe

）在 Windows 10 上，会出现 UAC 确认窗口：

User Account Control
Do you want to allow this app to make changes to your device?

内置管理员帐户未启用 UAC，Windows 10 中默认禁用该帐户。

在本文中，我们将了解如何使用组策略管理单台计算机或多台计算机上的 UAC 设置。

Windows 10 上的用户帐户控制滑块级别

在 Windows 7（及更高版本）中，计算机上的 UAC 设置是使用特殊滑块（通过控制面板或

UserAccountControlSettings.exe

文件）。使用滑块，您可以选择四个预定义的用户帐户控制保护级别之一。

• 4级——始终通知——最高的UAC保护级别；

• 级别 3 — 仅当程序尝试更改“我的电脑”时发出通知（默认）-默认保护级别；

• 级别 2 — 仅在程序尝试对我的计算机进行更改时通知（不要使我的桌面变暗） — 与上一级别几乎相同，但不会切换到具有桌面锁定功能的安全桌面；

• 级别 1 — 从不通知 — UAC 已禁用。

默认情况下，在 Windows 10 中，使用 UAC 保护级别 3，仅当您尝试更改系统文件或设置时才显示通知。

如何使用 GPO 禁用 Windows 中的用户帐户控制？

大多数情况下，不建议完全禁用UAC。用户帐户控制是一种简单但有效的 Windows 安全工具。在我的实践中，我绝不会在用户计算机上禁用 UAC，除非确保 UAC 阻止某些功能。即使在这些情况下，也有一些简单的解决方法可以禁用特定应用程序的 UAC，或者在没有管理员权限的情况下运行应用程序并抑制 UAC 提示。

您可以使用组策略禁用 UAC。在独立计算机上，您可以使用本地组策略编辑器

gpedit.msc

。如果需要将策略部署到域计算机，则需要使用组策略管理控制台 -

gpmc.msc

（让我们考虑这个选项）。

1. 在域 GPO 管理控制台中，单击要禁用 UAC 的计算机所在的 OU 并创建新的策略对象；

   

2. 编辑策略并转到计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项部分；

3. 此部分有几个控制 UAC 设置的选项。这些参数的名称以用户帐户控制开头；

   

4. 要完全禁用 UAC，请设置以下参数值：

   • 用户帐户控制：管理员批准模式下管理员提升提示的行为 =

   Elevate without prompting

   ;

5. 用户帐户控制：检测应用程序安装并提示提升 =

   Disabled

   ;

6. 用户帐户控制：在管理员批准模式下运行所有管理员 =

   Disabled

   ;

7. 用户帐户控制：仅提升安装在安全位置的 UIAccess 应用程序 =

   Disabled

   。

   

8. 您需要重新启动客户端计算机才能更新组策略设置并禁用 UAC。重新启动后，UAC 将切换到“从不通知”模式。

您还可以通过注册表仅对某些用户/计算机禁用 UAC，并通过组策略首选项部署设置。

在 GPO 部分计算机配置 -> 首选项 -> Windows 设置 -> 注册表下创建一个新的注册表参数，设置如下：

• 行动：更换

• 配置单元：HKEY_LOCAL_MACHINE

• 主要路径：SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

• 值名称：EnableLUA

• 值类型：REG_DWORD

• 数值数据：0

然后转到常用选项卡并启用选项：

• 当不再应用此项目时将其删除

• 项目级定位

单击定位按钮并指定要应用 UAC 禁用策略的计算机或域安全组。

即使禁用了 UAC，某些应用程序也可能会被阻止启动，并显示消息为了保护您，该应用程序已被阻止。

UAC注册表项设置

您可以通过注册表管理UAC设置。负责用户帐户控制行为的参数位于注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 下。

当您更改控制面板中 UAC 滑块的值时，Windows 会按如下所示更改此注册表项的注册表设置值（下面是针对不同级别的用户帐户控制滑块的现成 REG 文件）：

UAC 级别 4（始终通知）：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC 级别 3（仅当程序尝试更改我的计算机时发出通知）：

"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC 2 级：

"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC 级别 1（从不通知 — 完全禁用 UAC）：

"ConsentPromptBehaviorAdmin"=dword:00000000
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

您可以使用注册表编辑器 GUI 或从命令提示符更改任何参数的值。例如，要在计算机上禁用 UAC（需要重新启动），您可以运行以下命令：

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

或者类似的 PowerShell 命令：

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

该线程中还有另一个注册表参数LocalAccountTokenFilterPolicy，通常称为远程UAC。此参数将远程连接限制为具有管理员权限的本地用户帐户下的默认管理共享。

Windows Server 上的用户帐户控制

Windows Server 中的用户帐户控制的工作方式和管理方式与 Windows 桌面版本相同。

如果满足以下条件，则可以在 Windows Server 2016/2019 中完全禁用 UAC：

• 只有管理员才能远程访问服务器桌面（必须禁用非管理员用户对服务器的 RDP 访问）。在 RDS 主机上，启用 UAC；

• 管理员应仅使用 Windows Server 来执行行政管理任务。管理员应仅在启用了 UAC 的非特权用户帐户下的工作站上使用 Office 文档、Messenger、Web 浏览器，而不是在服务器主机上。

UAC 在 Windows Server Core 版本中始终处于禁用状态。

启用 UAC 后，Windows Server 不允许在本地计算机帐户下进行远程连接（通过 net use、winrm、Powershell Remoting）。用户的令牌将被启用的UAC过滤

LocalAccountTokenFilterPolicy

参数（在上一节中讨论过）。

UAC 滑块和组策略设置

您可以使用滑块和 GPO 来管理 UAC 设置。但没有单个组策略参数允许选择四个 UAC 保护级别之一（对应于 UAC 滑块的位置）。建议使用 10 个不同的 GPO 参数来管理 UAC 设置。这些策略位于 GPO 编辑器的以下部分：计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。与 UAC 相关的组策略参数以用户帐户控制开头。

下表显示了 UAC 组策略参数及其相应的注册密钥的列表。

Policy NameRegistry Parameter Set by the PolicyUser Account Control: Admin Approval Mode for the Built-in Administrator accountFilterAdministratorTokenUser Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktopEnableUIADesktopToggleUser Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModeConsentPromptBehaviorAdminUser Account Control: Behavior of the elevation prompt for standard usersConsentPromptBehaviorUserUser Account Control: Detect application installations and prompt for elevationEnableInstallerDetectionUser Account Control: Only elevate executables that are signed and validatedValidateAdminCodeSignaturesUser Account Control: Only elevate UIAccess applications that are installed in secure locationsEnableSecureUIAPathsUser Account Control: Run all administrators in Admin Approval ModeEnableLUAUser Account Control: Switch to the secure desktop when prompting for elevationPromptOnSecureDesktopUser Account Control: Virtualize file and registry write failures to per-user locationsEnableVirtualization

默认情况下，UAC 级别 3 使用以下组策略设置：

UAC 级别 3（默认）

内置管理员帐户的管理员批准模式 =

Disabled

允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升 =

Disabled

管理员批准模式下管理员提升提示的行为 =

Prompt for consent for non-Windows binaries

标准用户的提升提示行为 =

Prompt for credentials on the secure desktop

检测应用程序安装并提示提升 =

Enabled  

（对于工作组），

Disabled 

（对于加入域的 Windows 设备）
仅提升经过签名和验证的可执行文件 =

Disabled

仅提升安装在安全位置的 UIAccess 应用程序 =

Enabled

在管理员批准模式下运行所有管理员 =

Enabled

提示提升时切换到安全桌面 =

Enabled

将文件和注册表写入失败虚拟化到每个用户位置 =

Enabled